Freigeben über

Visualisieren von Diagrammen in Microsoft Sentinel (Vorschau)

Die Diagrammerfahrung im Microsoft Defender-Portal ermöglicht es Ihnen, interaktive, graphbasierte Untersuchungen zu Ihren benutzerdefinierten Diagrammen durchzuführen, z. B. die Verwendung eines für Phishinganalysen erstellten Diagramms, um Ihnen dabei zu helfen, die Auswirkungen eines aktuellen Vorfalls schnell zu bewerten, den Angreifer zu profilieren und seine Pfade über Microsoft-Telemetrie- und Drittanbieterdaten zu verfolgen. Mit dieser Benutzeroberfläche können Sie Diagrammabfragen ausführen, um die Erkenntnisse zu visualisieren, die für Ihre Organisation am wichtigsten sind, und unterstützt ad-hoc-Traversal des Diagramms, damit Sie interessante Entitäten schnell untersuchen können. Sie können das Diagrammschema untersuchen, um die in Ihrem Diagramm definierten Beziehungen zu verstehen und eine der angezeigten Metadaten zu verwenden, um Die Ergebnisse einzugrenzen. Sie können Ihre Ergebnisse schnell mit der Tabellenansicht überprüfen und exportieren, um eine einfache Integration in vorhandene Workflows zu ermöglichen. Verwenden Sie Jupyter-Notizbücher in Microsoft Visual Studio Code, um Ihre benutzerdefinierten Diagramme zu erstellen und zu materialisieren, und verwenden Sie dann die Graphoberfläche in Microsoft Sentinel, um Ihre benutzerdefinierten Diagramme abzufragen und zu visualisieren.

In diesem Artikel wird erläutert, wie Sentinel-Diagramm zum Abfragen, Visualisieren und Interagieren mit Diagrammen verwendet wird, um neue Erkenntnisse zu erhalten.

Voraussetzungen

Zugriffsgrafiken

Um auf die Graphoberfläche in Microsoft Sentinel zuzugreifen, melden Sie sich beim Microsoft Defender-Portal an, wählen Sie Microsoft Sentinel>Graphs aus dem Navigationsbereich aus.

Auf der Sentinel Graph-Verwaltungsseite werden alle benutzerdefinierten Diagramme aufgelistet, die Sie mithilfe der Visual Studio Code Sentinel-Erweiterung erstellt haben. Wenn Sie noch kein benutzerdefiniertes Diagramm erstellt haben, erstellen Sie ein benutzerdefiniertes Diagramm , um zu beginnen.

Wenn Sie bereits benutzerdefinierte Diagramme erstellt haben, zeigt die Sentinel-Diagrammverwaltungsseite alle verfügbaren benutzerdefinierten Diagramme an. Zeigen Sie eine Übersicht über jedes benutzerdefinierte Diagramm an, indem Sie das Menü " ... " auf einer beliebigen Diagrammkachel auswählen.

Screenshot, der zeigt, wie Sie über den Microsoft Sentinel-Navigationsbereich auf Sentinel-Diagramm zugreifen.

Abfragen eines benutzerdefinierten Diagramms

Wählen Sie "Abfragediagramm" auf der Diagrammkachel aus, um die Diagrammabfrageseite anzuzeigen.

Sie können das Schema anzeigen, um die Diagramm ontologie zu verstehen – Knoten, Kanten und deren Eigenschaften, die für die Abfrage verfügbar sind.

Screenshot der Sentinel-Diagrammerstellungsseite mit schemapanel und Abfrageeingabe.

  1. Auswählen der Registerkarte " Erste Schritte "

  2. Eine Liste der vorgeschlagenen Abfragen wird angezeigt. Wählen Sie "Abfrage bearbeiten" für die Diagrammabfrage visualisieren aus, um die Abfrage in das Abfrage-Editor-Feld zu kopieren.

    Diese Abfrage stimmt mit jeder One-Hop-Verbindung im Diagramm überein, sucht einen Quellknoten, eine gerichtete Beziehung und einen Zielknoten. Es gibt die vollständigen Knoten und Beziehungen für bis zu 100 solche Übereinstimmungen zurück, wodurch es nützlich ist, die rohe Diagrammstruktur schnell zu untersuchen.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Weitere Informationen zur Verwendung von GQL finden Sie unter Graph Query Language (GQL)-Referenz.

  3. Wählen Sie "GQL-Abfrage ausführen " aus, um Ihre Ergebnisse anzuzeigen. Nach Abschluss des Vorgangs wird die Diagrammvisualisierung angezeigt.

  4. Wählen Sie einen beliebigen Knoten aus, um die Knotendetails anzuzeigen, einschließlich der Eigenschaften, die diesem Knoten zugeordnet sind. Verwenden Sie diese Informationen, um nachfolgende Abfragen und Visualisierungen zu informieren.

    Screenshot der Sentinel-Diagrammvisualisierungsergebnisse nach dem Ausführen einer GQL-Abfrage.

  5. Wählen Sie die Registerkarte "Tabelle " aus, um eine tabellarische Darstellung Ihrer Ergebnisse anzuzeigen. Wählen Sie eine Zeile aus, um die zugrunde liegenden JSON-Daten für jede Zelle anzuzeigen.

    Screenshot der Tabellenvisualisierungsergebnisse nach dem Ausführen einer GQL-Abfrage.

Interagieren mit Diagrammen

Verwenden Sie die folgenden Funktionen, um Ihre Diagramme zu durchlaufen und zu erkunden:

Knotenfarben
Knoten sind farbcodiert nach Typ, wodurch die verschiedenen Entitätstypen in Ihrem Diagramm leicht dargestellt werden können.

Grafiklegende
In der Diagrammlegende werden alle Knotentypen in Ihrem Diagramm mit den entsprechenden Farben und Zählungen angezeigt. Außerdem werden alle Edgetypen aufgelistet, sodass Sie verstehen können, wie Knoten miteinander verbunden sind.

Knotenbeschriftungen
Während Sie das Diagramm vergrößern, werden weitere Knotenbeschriftungen angezeigt. Die ersten angezeigten Beschriftungen sind die am stärksten verbundenen Knoten, die durch größere Kreise dargestellt werden. Während Sie mit dem Zoomen fortfahren, werden weitere Knotenbeschriftungen in absteigender Reihenfolge der Konnektivität angezeigt.

Anzeigen von Knotendetails
Wählen Sie einen Knoten aus, um einen Detailbereich auf der rechten Seite zu öffnen. Verwenden Sie die hier gezeigten Metadaten, um zukünftige Abfragen zu verfeinern, z. B. durch Filtern nach geografischer Region, Abteilung oder datum der letzten Aktualisierung.

Erkunden verbundener Ressourcen
In der Detailansicht des Knotens oder durch Klicken mit der rechten Maustaste auf den Knoten können Sie Verbundene Assets entdecken wählen, um den Graph zu durchlaufen und den nächsten Hop von diesem Knoten aus anzuzeigen.

Screenshot der Diagrammlegende mit Knoten- und Edgetypen.

Mit der Maus über Knoten fahren
Zeigen Sie mit der Maus auf einen Knoten, um die zugehörigen Verbindungen hervorzuheben. Dadurch werden nicht verknüpfte Knoten und Kanten für eine klarere Ansicht der Konnektivität des Knotens ausgeblendet und wichtige Knoteninformationen angezeigt, einschließlich verbundener Knotenbeschriftungen.

Filtern eines Diagramms

Sie können die Filter oben rechts im Graph-Zeichenbereich verwenden, um die visualisierten Ergebnisse nach Knotentyp oder Randbeziehung einzugrenzen.

Screenshot mit den Diagrammfiltern für Knoten- und Edgetypen.

Canvas-Steuerelement – Neuanordnen und Zoomen

  • Ziehen Sie Knoten, um sie auf der Leinwand neu zu positionieren.
  • Verwenden Sie die Schaltfläche "Zuletzt verwendet" unten rechts, um die Ansicht zurückzusetzen.
  • Vergrößern oder Verkleinern mithilfe des Cursors oder der Zoomsteuerelemente unten rechts

Tabellenansicht

Sie können eine tabellarische Darstellung Ihrer Daten anzeigen, indem Sie die Registerkarte "Tabelle " auswählen. Aus der Tabelle können Sie folgende Aktionen ausführen:

  • Überprüfen Sie, ob Ihre GQL-Abfrage die gewünschten Ergebnisse erzeugt hat.
  • Suchen und sortieren Sie die Tabelle, um interessante Entitäten schnell zu finden.
  • Zeigen Sie den zugrunde liegenden JSON-Code für eine einzelne Zelle an, und stellen Sie Schlüsselkontext bereit, den Sie in zukünftigen Abfragen verwenden können.
  • Exportieren in das CSV-Format für die Verwendung in anderen bereits vorhandenen Workflows.

Screenshot der Tabellenansicht mit Such-, Sortier- und Exportfunktionen.

Sie können das Tabellenformat auch anpassen, indem Sie den RETURN Operator verwenden, um die Spaltenstruktur zu definieren, oder Ergebnisse nach Ihren Wünschen sortieren. Weitere Informationen finden Sie in der GQL-Dokumentation.

Verwandte Inhalte

  • Last updated on